Generalidades
La autenticación, informe y conformidad de mensajes basados en dominio (DMARC) es una política de correo electrónico entrante construida sobre registros SPF y DKIM, diseñada para detectar y prevenir correos electrónicos fraudulentos.
Cuando agregas una política DMARC a tu dominio, eliges informar al destinatario que tus correos electrónicos están protegidos por registros SPF y/o DKIM, y qué hacer si tu política DMARC no se alinea con esos registros.
Ejemplo del proceso de envío de DMARC
- El remitente agrega una política DMARC a tu dominio.
- Un correo es enviado.
- El destinatario verifica si el correo electrónico contiene una política DMARC.
- Si es así, los registros SPF/DKIM mencionados en la política DMARC del remitente se validan.
- Si los registros SPF/DKIM pasan la validación, deben pasar algo llamado 'alineación'.
- Si la 'alineación' se pasa, se recibe el correo electrónico.
Si no se pasa la 'alineación' (incluso si se pasa la verificación SPF/DKIM), el mensaje falla. Esto ayuda a garantizar que la actividad fraudulenta que parece provenir del dominio esté bloqueada.
¿Qué es la alineación?
La política DMARC verifica el nombre de dominio que figura en el campo From: del mensaje. Luego compara ese dominio con otros nombres de dominio autenticados que figuran en el encabezado del correo electrónico. Si son idénticos, tu política DMARC está alineada.
De lo contrario, debes comunicarse con tu servidor de correo electrónico y solicitar instrucciones sobre cómo asegurarte de que tus registros estén alineados.
Alineamiento estricto y relajado
La alineación en tu política puede establecerse como estricta o relajada.
- Alineación estricta — los dominios deben ser idénticos
- Alineación relajada — el "dominio organizacional" de nivel superior debe coincidir
El 'Dominio organizacional' es tu nombre de dominio seguido de su sufijo. Por ejemplo:
- example.com
- example.net
- example.com.au
¿Qué pasa si el mensaje falla la alineación?
La política DMARC del remitente contiene información sobre cómo manejar los correos electrónicos que fallan en la autenticación. Se pueden crear dos tipos de informes:
- Reportes agregados — enviado como formato XML una vez al día, que consiste en datos agregados de todas las fallas de DMARC
- Reportes forenses (aka informes de falla) — generado de inmediato y consiste en correos electrónicos individuales que fallaron
Configurar una política DMARC
- Configura un registro SPF y/o DKIM en tu dominio.
- Envía un correo electrónico a ti mismo (u otra dirección que poseas). Una vez recibido, veas tus encabezados. Verifica la alineación del dominio identificando el dominio listado como la dirección de envío. Se puede ubicar en los siguientes lugares:
- El Sobre From dominio — From: admin@example.com
- El caminio de regreso — <admin@example.com>
- El d=dominio en la firma DKIM — DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=example.com;
-
Crea dos direcciones de correo electrónico separadas para recibir informes forenses y agregados diarios de DMARC. Se recomienda que cree dos direcciones de correo electrónico, ya que puede recibir una gran cantidad de informes. Por ejemplo:
- dmarc_agg@example.com
- dmarc_forensic@example.com
- Crea el registro TXT.
- En tu panel, navega a la página Manage Domains.
- Haz clic en el enlace DNS debajo de tu dominio.
- Cuando se abra la siguiente página, ingresa un nuevo registro TXT como se muestra en el siguiente ejemplo:
- Name — _dmarc
- Type — TXT
- Value — A continuación se muestra una configuración básica que maneja la mayoría de tus necesidades de DMARC. Solo asegúrate de ajustar las direcciones de correo electrónico a las direcciones que creaste anteriormente para recibir informes entrantes.
Ve la sección a continuación para obtener más detalles sobre las diferentes opciones que puedes usar.
v=DMARC1; p=none; fo=1; rua=mailto:dmarc_agg@example.com;ruf=mailto:dmarc_forensic@example.com;pct=100
Dentro de 4-6 horas, el registro se actualizará en línea.
Etiquetas que puedes usar en tu registro DMARC
Etiquetas requeridas
Hay 2 etiquetas requeridas, v y p.
La etiqueta v
La etiqueta v identifica el registro de texto como un registro DMARC. Esta debe ser la primera etiqueta y tener un valor de DMARC1.
La etiqueta p
La etiqueta p identifica la acción que el propietario del dominio solicita al destinatario que tome para los mensajes fallidos. Las opciones son:
| Etiqueta | Descripción |
|---|---|
| p=none | No se debe realizar ninguna acción para los correos electrónicos que fallan la autenticación DMARC. |
| p=quarantine | Si un correo electrónico falla la autenticación DMARC, debe tratarse como sospechoso. Cómo se maneja esto depende del destinatario, por ejemplo, se puede colocar en una carpeta de SPAM. |
| p=reject | Si un correo electrónico falla la autenticación DMARC, el destinatario debe rechazar el correo electrónico durante la transacción SMTP. |
Etiquetas de correo
Estos indican dónde se envían los informes.
| Etiqueta | Descripción |
|---|---|
| rua=mailto:dmarc_agg@example.com | Esta dirección es donde se deben enviar los informes agregados de DMARC. |
| ruf=mailto:dmarc_forensic@example.com | Indica a dónde se deben enviar los informes forenses de DMARC. |
Etiqueta de informe
fo controla cuando se crea un informe de falla.
| Etiqueta | Descripción |
|---|---|
| 0 | Crea un informe si todos los pasos de autenticación fallan. (Defecto) |
| 1 | Crea un informe si alguno de los pasos de autenticación falla. |
| d | Crea un informe de falla DKIM si el mensaje tenía una firma que falló la evaluación. |
| s | Crea un informe de fallas SPF si el mensaje falló en la autenticación SPF. |
Se recomienda una configuración de fo=1 ya que proporciona la mayor cantidad de datos sobre cualquier falla.
Etiquetas opcionales
Las siguientes etiquetas usan un valor predeterminado si la etiqueta no está configurada:| Etiqueta | Descripción |
|---|---|
| adkim | Establece una alineación de identificador DKIM estricta o relajada. (El valor predeterminado es relajado). |
| aspf | Establece una alineación de identificador SPF estricta o relajada. (El valor predeterminado es relajado). |
| rf | Formato para informes de fallas. (El valor predeterminado es Formato de informe de falla de autenticación, o 'AFRF'). |
| ri | Establece el número de segundos entre el envío de informes agregados. (El valor predeterminado es 86,400 segundos, o un día). |
| pct | Establece el porcentaje de mensajes a los que se aplica DMARC. Establecer esto en 100 se aplicaría a cada correo electrónico y se recomienda. |
Etiqueta de subdominio
La etiqueta sp se usa para establecer una política de informes diferente para un subdominio. Por ejemplo, puede configurar el dominio primario para usar p=reject mientras configura todos los subdominios bajo este dominio para usar sp=quarantine.
| Etiqueta | Descripción |
|---|---|
| sp | Establece una política de informes para el subdominio, diferente del dominio principal. Por ejemplo:v=DMARC1; p=none; sp=quarantine;fo=1; rua=mailto:dmarc_agg@example.com;ruf=mailto:dmarc_forensic@example.com;pct=100<
|
